¿Los mensajes de texto SMS cumplen con la HIPAA?
Los mensajes de texto (como tecnología) no cumplen con la HIPAA. Sin embargo, la HIPAA no le prohíbe a usted ni a su consultorio médico enviar mensajes de texto (como recordatorios de citas) a los pacientes.
Sólo tiene que conocer algunas normas específicas y las mejores prácticas antes de empezar a enviar mensajes de texto.
Para enviar mensajes de texto a los pacientes:
-
Los mensajes no pueden contener información personal de salud (PHI)
-
Los pacientes tienen que optar por la mensajería
COVID 19 UPDATE: El 17 de marzo de 2020, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) publicó una declaración en respuesta a la COVID 19 sobre la discreción de aplicación de la HIPAA para los proveedores de atención médica. La declaración da mayor discreción y flexibilidad a los proveedores de atención médica que atienden y se ponen en contacto con los pacientes todos los días a través de las tecnologías de comunicación.
Leer más: Declaración del Departamento de Salud y Servicios Humanos de los Estados Unidos
Descargo de responsabilidad: Tenga en cuenta que nuestros consejos son sólo para fines informativos. No pretende sustituir el asesoramiento de un abogado cualificado.
¿Qué es la HIPAA? ¿Qué es la información médica personal (PHI)?
La HIPAA es la Ley de Portabilidad y Responsabilidad del Seguro Médico (1996). La HIPAA es una ley diseñada para mantener a salvo la información sanitaria protegida (PHI) y la privacidad del paciente.
Para que cualquier tecnología de mensajería cumpla con la HIPAA, todos los mensajes relacionados con la información sanitaria protegida (PHI) deben estar codificados. Los textos también tienen que almacenarse de forma segura mientras están en tránsito, no sólo mientras se envían y reciben.
La PHI constituye toda la información sanitaria identificable individualmente. Cualquier identificador o información como el nombre, los apellidos, la fecha de nacimiento o la dirección se consideran PHI.
Artículo sugerido: Resumen de la regla de seguridad de la HIPAA
Por qué necesita enviar mensajes de texto que cumplan con la HIPAA
El envío de mensajes de texto que cumplan con la HIPAA es importante porque los mensajes de texto no son una tecnología de mensajería segura.
Las compañías de telecomunicaciones almacenan todos los mensajes de texto, los textos no están encriptados y la mayoría de los teléfonos no tienen una fuerte protección con contraseña.
En la vida de un mensaje de texto, éste pasa por varias compañías y se almacena en sus servidores. Cuando un mensaje está «en reposo», los datos se almacenan localmente en el teléfono del destinatario. Esto hace que el contenido de un mensaje sea vulnerable en cada punto de almacenamiento.
Además, los dispositivos móviles pueden perderse o ser robados. Esto expone la PHI al robo de identidad.
Las violaciones de la HIPAA también son un asunto serio. Las sanciones por violaciones de la HIPAA pueden oscilar entre 100 y 50.000 dólares por día, dependiendo de la gravedad de la violación.
Las 3 principales razones por las que los mensajes de texto no cumplen con la HIPAA:
-
Las compañías de telecomunicaciones almacenan todos los mensajes de texto como datos en un servidor
-
Los mensajes de texto (como tecnología) no están cifrados de forma nativa
-
La contraseña la protección de los teléfonos normales y las aplicaciones de mensajería de texto no es lo suficientemente segura
Cómo enviar mensajes de texto que cumplan con la HIPAA
Para que su consultorio médico envíe mensajes de texto a los pacientes, primero necesita el consentimiento. El consentimiento se aplica tanto a los mensajes transaccionales como a los promocionales. También debe asegurarse de que sus mensajes de texto no contengan información de salud protegida (PHI).
Consentimiento para mensajes transaccionales y promocionales
Obtener el consentimiento es una de las mejores prácticas generales de mensajería de texto y la etiqueta normal de los mensajes de texto. También es un requisito de envío de mensajes de texto al que están sujetas todas las organizaciones sanitarias en virtud de la Ley de Protección del Consumidor Telefónico (TCPA).
Para establecer el consentimiento, debe conocer la diferencia entre los mensajes de texto transaccionales y promocionales para la comunicación con los pacientes.
Mensajes transaccionales frente a promocionales
Los mensajes transaccionales establecen un consentimiento implícito. Estos textos ayudan a facilitar, completar o confirmar una transacción o relación de tipo comercial previamente acordada.
¿Su paciente ya ha concertado una cita con su consultorio? Si la respuesta es afirmativa, entonces su consentimiento está implícito debido a su relación transaccional ya establecida. Esto permite enviar mensajes de texto para recordar las citas.
Los mensajes promocionales requieren un consentimiento expreso. Estos son todos los demás textos que no implican directamente una transacción o relación de tipo comercial ya existente.
¿Su paciente le ha dado su consentimiento expreso (por escrito o verbalmente) para recibir textos? Si no es así, entonces no tienes permiso para enviarles textos promocionales ni compartir ninguna información médica.
| Mensajes de texto transaccionales (consentimiento implícito) |
Mensajes de texto promocionales (consentimiento expreso – escrito o verbal) |
|---|---|
| Recordatorios de citas | Programar la próxima cita |
| Recordatorios de revisiones | Publicidad de nuevos servicios o productos |
| NoRecordatorios de citas no presentadas o perdidas | Consejos sobre el cuidado de la salud |
| Recordatorios de entrada y de habitación preparada | Encuestas y sondeos de satisfacción de los pacientes |
Gestión de aceptación y exclusión
Todos los pacientes necesitan una forma de aceptar y rechazar los mensajes de texto de su oficina. Esto es parte de las directrices TCPA y las mejores prácticas.
Muchas plataformas de mensajería de texto de negocios como MessageDesk han incorporado sistemas de gestión de opt-in y opt-out. Usted obtiene una manera fácil y amigable para ver quién ha optado por la mensajería y quién no.
Si su oficina envía mensajes de texto a un paciente por primera vez, MessageDesk enviará automáticamente un mensaje de exclusión. Este mensaje le indica al paciente cómo excluirse de los mensajes de texto respondiendo «STOP».
Si un paciente se excluye y envía un mensaje de texto «STOP», se coloca un protector en su número. Esto evita que usted y su oficina envíen mensajes de texto al paciente hasta que éste vuelva a optar por la mensajería.
Artículo sugerido: Gestión de Opt-in y Opt-out con MesageDesk
Plantillas de mensajes de texto que cumplen con la ley HIPAA
Pedir a los pacientes que confirmen sus citas a través de texto puede mejorar el flujo de programación de citas de su oficina. Puede reducir las ausencias, evitar las llamadas telefónicas y mejorar la satisfacción de los pacientes.
Sin embargo, la única forma de mantener el cumplimiento de la HIPAA con los mensajes de texto es no enviar nunca información personal sobre la salud.
Con cada una de las siguientes plantillas de mensajes de texto que cumplen con la HIPAA, verá que no se incluye el nombre. Tampoco se incluyen los motivos de la cita, el tratamiento o la especialidad de la consulta.
Plantilla de mensaje de texto de recordatorio de cita:
Tiene una cita con {{ OrganizationName }} en {{ Date }}. Responda «sí» para confirmar o «no» para cancelar. No dude en responder a este texto con preguntas. Cuando llegue, puede entrar o responder a este mensaje para registrarse. Llame a {{ OrganizationPhone }} si no recibe respuesta.
Mensaje de texto de registro de entrada:
¡Gracias! Le tenemos registrado. Le avisaremos tan pronto como su habitación esté lista.
No se ha presentado o ha faltado a la cita
¡Le hemos echado de menos hoy! Este es {{ OrganizationName }} notificando que ha perdido su cita con nosotros en . Por favor, llámenos al {{ OrganizationPhone }} para reprogramar la cita.
Plantilla de mensaje de texto de actualización y disponibilidad de la oficina
Por favor, tenga en cuenta que el estacionamiento para {{ OrganizationName }} es actualmente limitado debido a las obras de la carretera. Por favor, planifique con antelación. Nos disculpamos por cualquier inconveniente.
Directrices de COVID 19 Plantilla de mensaje de texto
Por favor, revise nuestras directrices de COVID-19 ANTES de su cita.
Consentimiento del paciente para incluir PHI
No incluir PHI en sus mensajes de texto le permite cumplir con la HIPAA. Sin embargo, los pacientes pueden seguir recibiendo su información médica por texto si así lo deciden.
Para que esto ocurra, deben dar a su consultorio un consentimiento expreso por escrito. Su oficina también tendrá que documentar esto claramente y decirle explícitamente al paciente que la mensajería de texto no es segura.
Qué hace que una aplicación de texto cumpla con la HIPAA:
Las normas de seguridad de la HIPAA sí le permiten enviar información del paciente a través de redes electrónicas abiertas. Esto sólo puede ocurrir mientras toda la información personal de salud esté adecuadamente protegida.
Para proteger la información de salud, una aplicación de texto que cumpla con la HIPAA tendrá las siguientes características. Las aplicaciones de mensajería de texto que cumplen con la HIPAA también están sujetas a la ley HITECH (Health Information Technology for Economic and Clinical Health).
-
Tener una protección avanzada de contraseñas para todos los usuarios (controles de acceso)
-
Limitar el acceso a la información de salud personal de varios empleados de la oficina (controles de auditoría)
-
Encriptar todos los mensajes de texto (encriptación)
-
Tener un acuerdo de asociación empresarial (BAA)
Protección avanzada con contraseña (controles de acceso)
No todo el mundo en su oficina necesita acceder a los archivos completos de los pacientes. Los controles de acceso (como la protección con contraseña) permiten a sus empleados acceder sólo al mínimo de información médica protegida.
Los empleados que realizan la facturación no necesitan acceder a la información médica de un paciente. Del mismo modo, una enfermera no necesita acceder a la información financiera de un paciente.
Los controles de acceso otorgan a cada empleado credenciales de inicio de sesión únicas y un nivel de acceso designado para realizar su función laboral.
Limitar el acceso a la PHI (controles de auditoría)
Los controles de auditoría supervisan quién, cuándo y durante cuánto tiempo se accede a la información del paciente. Esto establece patrones de acceso normales que pueden ser atribuidos a individuos específicos.
Los controles de auditoría son importantes para detectar el acceso no autorizado a la PHI. Para la mayoría de las plataformas de mensajes de texto tradicionales, la supervisión del acceso no es posible.
Mensajes de texto cifrados (encriptados)
No existe la mensajería de texto segura. Sólo hay mensajes de texto MÁS seguros. Sin embargo, HIPAA ordena la encriptación para asegurar la PHI.
La encriptación es la forma más fuerte de protección digital. Convierte los datos en una forma ilegible. Para verlos, se necesita una clave de descifrado.
Además, los mensajes de texto no permiten la encriptación debido a la forma en que los transportistas manejan los textos. Los mensajes de texto (como tecnología) no pueden ser encriptados. Esto significa que no puede utilizar los mensajes de texto para transmitir información médica personal.
Acuerdo de asociación comercial (BAA)
Como parte de su política de mensajería de texto HIPAA, necesita un acuerdo de asociación comercial (BAA) firmado. Un BAA especifica las «entidades cubiertas» y las protecciones que aseguran la información sanitaria protegida. También obliga a que ambas entidades cumplan con la HIPAA.
Sin un BAA firmado, no puede utilizar una aplicación de mensajería de texto para enviar PHI.
Artículo sugerido: Cómo elegir la mejor aplicación de mensajería de texto para su empresa u organización
Pensamientos finales y próximos pasos
¿Listo para empezar a enviar mensajes de texto a sus pacientes? MessageDesk está aquí para ayudarle con una mensajería de texto más inteligente y sencilla para consultorios médicos, dentales y privados.
Visite nuestro centro de aprendizaje para obtener información sobre cómo empezar con MessageDesk. Encontrará una guía de inicio rápido para enviar mensajes de texto, una descripción general de las funciones y una explicación de lo que es MessageDesk.
También querrá consultar nuestra lista de plantillas gratuitas de mensajes de texto SMS. Sólo tiene que copiar y pegar para empezar a enviar mensajes de texto.
Por último, no dude en iniciar una prueba gratuita de MessageDesk durante 7 días con 50 mensajes de texto gratuitos.